Google vừa phát hiện một bộ công cụ hack có tên Coruna, âm thầm xâm nhập iPhone và đánh cắp tiền điện tử bằng cách tấn công các ứng dụng ví phổ biến như MetaMask, Phantom và Trust Wallet.
Người dùng không cần thao tác gì, chỉ cần truy cập vào một website giả mạo hoặc đã bị chiếm quyền trên iPhone chưa được cập nhật bảo mật là đã có thể bị nhiễm mã độc này.
Được tài trợ
Được tài trợ
Tại sao điều này quan trọng:
- Những iPhone chạy iOS 17.2.1 hoặc phiên bản cũ hơn vẫn đang có nguy cơ bị tấn công; Apple chỉ vá lỗ hổng này trên iOS 17.3 phát hành vào tháng 01/2024.
- Bộ công cụ này có thể quét nội dung ghi chú và tin nhắn để tìm các cụm từ khôi phục ví tiền điện tử (seed phrase) và các từ khóa như “backup phrase”, cho phép hacker chiếm toàn bộ quyền truy cập ví mà không cần mật khẩu.
- Có tới 18 ứng dụng liên quan đến tiền điện tử bị nhắm mục tiêu, trong đó người dùng MetaMask, Phantom, Exodus, Trust Wallet và Uniswap có nguy cơ bị đánh cắp tài sản trực tiếp.
Chi tiết vụ việc:
- GTIG được cho là đã thu thập được toàn bộ bộ công cụ này từ hàng trăm website tài chính và sàn giao dịch tiền điện tử giả mạo, bao gồm cả một trang giả danh sàn giao dịch crypto WEEX.
- Một nhóm tình báo Nga bị nghi ngờ đã sử dụng chính bộ công cụ này vào mùa hè năm 2025 để tấn công người dùng iPhone tại Ukraine thông qua website của các doanh nghiệp địa phương đã bị xâm nhập.
- Sau đó, một nhóm tội phạm tài chính có trụ sở tại Trung Quốc đã phát tán rộng rãi bộ công cụ này qua các trang lừa đảo, nhờ vậy Google đã lấy được bản đầy đủ của Coruna.
- Bật tính năng Lockdown Mode trong phần cài đặt iPhone có thể ngăn chặn hoàn toàn cuộc tấn công — bộ công cụ sẽ tự động phát hiện chế độ này và dừng hoạt động.
Bức tranh toàn cảnh:
- Cùng một bộ công cụ đã qua tay nhiều đối tượng khác nhau: từ công ty giám sát, đến nhóm hacker được chính phủ Nga hậu thuẫn và cả tội phạm tài chính Trung Quốc. Điều này cho thấy thị trường mua bán các công cụ hack nguy hiểm ngày càng mở rộng.
- Hai lỗ hổng trong bộ công cụ Coruna từng bị lợi dụng trong chiến dịch gián điệp Operation Triangulation trên iOS năm 2023 do Kaspersky phát hiện, cho thấy các mã khai thác cao cấp thường xuyên được tái sử dụng bởi nhiều nhóm hacker khác nhau.
